Joe Hindy / Android Authority
TL;DR
- Οι χρήστες της εφαρμογής Twilio Authy Authenticator ενδέχεται να έχουν εκτεθεί στον αριθμό τηλεφώνου τους σε χάκερ.
- Αν και η διαρροή αποκάλυψε στοιχεία προσωπικής ταυτοποίησης, δεν έθετε σε κίνδυνο άμεσα λογαριασμούς.
- Η Twilio έχει εξασφαλίσει έκτοτε το σύστημά της, αλλά προειδοποιεί ότι οι πληροφορίες που εκτίθενται θα μπορούσαν να χρησιμοποιηθούν για phishing.
Η ασφάλεια δεν είναι κάτι που πρέπει να αγνοήσει κανείς από εμάς, και με τόσο μεγάλο μέρος της ζωής μας συνδεδεμένο με διάφορους λογαριασμούς και υπηρεσίες, η προστασία αυτής της πρόσβασης είναι ζωτικής σημασίας. Οι χρήστες που ενδιαφέρονται να κάνουν τα πράγματα όσο το δυνατόν πιο δύσκολα για τους χάκερ συχνά αναζητούν επιλογές σύνδεσης που υποστηρίζουν έλεγχο ταυτότητας δύο παραγόντων, αποτρέποντας τους κακούς ηθοποιούς να μπλέξουν με τα δεδομένα σας χρησιμοποιώντας μόνο έναν κλεμμένο κωδικό πρόσβασης. Φυσικά, αυτό καθιστά τις ίδιες τις λύσεις 2FA πρωταρχικό στόχο και αυτό ακριβώς αντιμετωπίζει η Twilio πρόσφατα, καθώς μια ευπάθεια API εξέθεσε ορισμένα δεδομένα χρήστη Authy.
Το Authy είναι μια από τις πιο δημοφιλείς εφαρμογές 2FA που κυκλοφορούν, που ανταγωνίζεται τις εφαρμογές όπως το Authenticator της Google. BleepingComputer αναφέρει ότι μόλις πριν από μία εβδομάδα, χάκερ μοιράστηκαν ένα σύνολο δεδομένων που αποτελούνταν από περίπου 33 εκατομμύρια καταχωρίσεις, συνδέοντας αναγνωριστικά λογαριασμού με αριθμούς τηλεφώνου χρηστών. Η Twilio επιβεβαίωσε στον ιστότοπο ότι αυτά τα δεδομένα αποκόπηκαν μέσω ενός χάκερ που συνδέθηκε σε ένα προηγουμένως μη ασφαλές τελικό σημείο API — ουσιαστικά, θα μπορούσαν απλώς να εκτελέσουν μια λίστα με κάθε πιθανό αριθμό τηλεφώνου και εάν ένας από αυτούς συσχετίστηκε με έναν εγγεγραμμένο χρήστη Authy , το API θα απαντούσε με τις συνδεδεμένες πληροφορίες λογαριασμού.
![hack api twilio authy Μια ανάρτηση σε ένα φόρουμ χάκερ που μοιράζεται νέα σχετικά με το hack Authy API](https://www.techwar.gr/wp-content/uploads/2024/07/twilio-authy-api-hack.jpg)
Για να είμαστε σαφείς, κανένα από αυτά τα δεδομένα που έχουν διεισδυθεί δεν περιλαμβάνει κωδικούς πρόσβασης ή οτιδήποτε θα παρείχε απευθείας πρόσβαση στον λογαριασμό σας Authy. Ωστόσο, ο αριθμός τηλεφώνου σας εξακολουθεί να είναι πολύ προσωπικά αναγνωρίσιμες πληροφορίες και θα μπορούσε να συνδυαστεί με άλλα σύνολα δεδομένων για να γίνει ένα ολοένα πιο χρήσιμο (ή, για εσάς, απειλητικό) προφίλ για κάποιον που ενδιαφέρεται να θέσει σε κίνδυνο την ασφάλειά σας. Οπως και BleepingComputer Σημειώσεις, οι αναφορές στις βάσεις δεδομένων “gemini” και “nexo” που βλέπετε παραπάνω είναι σαφείς οδηγίες για αυτού του είδους τη διασταύρωση.
Η Twilio έκτοτε έκλεισε το εκτεθειμένο API που κατέστησε δυνατή αυτή τη διαρροή και συμβουλεύει ενημέρωση του Authy στο τηλέφωνό σαςαλλά αυτό μοιάζει περισσότερο με βέλτιστες πρακτικές παρά με συγκεκριμένη διόρθωση για οτιδήποτε σχετίζεται με αυτήν την επίθεση.
VIA: AndroidAuthority.com